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@ Verfahren zum Schutz von MS-DOS-Rechnern gegen Sabotageprograrnme oder »Viren« 



(§) Es wird ein Verfahren beschrieben, mit dem sich MS- 
DOS-Rechner gegen Sabotageprograrnme oder sogenannte 
"Viren" schutzen lassen. Anders als bei bekannten Verfahren 
konnen nicht nur bereits bekannte Viren in Form bestimmter 
Zeichenketten in den Dateien und im Speicher festgestellt 
und dann beseitigt warden, sondern es lassen sich auch 
Sabotageversuche mit unbekannten Virussignaturen erken- 
nen, so dafi sie bei der Aktivierung keinen Schaden anrich- 
ten konnen. Dazu wird bei Aufruf von sektororientierten 
* Funktionen zunachst gepruft, ob der Aufruf vom Kern des 
Betriebssystems ausgeht. 1st das der Fall, so wird der Aufruf 
zugeiassen. Im anderen Fall wird gepruft. ob der Aufruf von 
einem zugetassenen Dienstprogramm kommt. 1st dies der 
Fall, wird wiederum der Aufruf zugeiassen. Im anderen Fall 
wird die Ausfuhrung gesperrt und dem Rechnerbenutzer 
eine Warnung ausgegeben, beispielsweise ein opttsch auf- 

1 fallendes Warnfenster auf dem Bitdschirm des Rechners. 
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Im Hinblick auf die massive Verbreitung von Virus- 
und Sabotageprogrammen aller Art gewinnt die Tatsa- 
che an Bedeutung, daB die Systembereiche von Daten- 5 
trfigern, insbesondere Festplatten und Diskettes beim 
Betriebssystem MS-DOS gegen eine mutwillige Zerstd- 
rung nicht geschiitzt sind. Die bekannten Anti-Virus- 
Verfahren beschrSnken sich auf die Erkennung soge- 
nannter Virus-Signaturen in Form bestimmter Zeichen- 10 
ketten in den Dateien und im Speicher. Der groBe Nach- 
teil solcher Verfahren besteht darin, daB sie sich natur- 
gem&B auf die schon bekannten Viren beschranken 
miisseiL Insbesondere kdnnen sie das Anrichten von 
Schaden nicht verhindern, falls ein unbekannter Virus 15 
aktiv wird. Das Erkennen der Virus-Signaturen ist auch 
noch dadurch schwieriger geworden, daB inzwischen 
polymorphe Viren auftreten, also solche Viren, die ihre 
Signatur selbst andern kdnnen. 

Zur Verdeutlichung der Gefahren, die das unge- 20 
schutzte MS-DOS-System bedrohen, sei erlautert, daB 
bereits kurze Programmfragmente mit einer Gesamt- 
lange von beispielsweise 8 Bytes und einer Ausftih- 
rungszeit von nur wenigen Millisekunden jeden Zugriff 
zur Festplatte eines Rechners und sogar das Hochzie- 25 
hen (Booten) des Betriebssystems verhindern kdnnen. 
Eine Restaurierung der auf diese Weise zerstbrten Fest- 
platte ist, wenn Uberhaupt, nur von Experten in muhe- 
voller und zeitraubender Handarbeit moglich. 

Der Erfindung liegt demgem£B die Aufgabe zugrun- 30 
de, ein Verfahren anzugeben, das Betriebssystem MS- 
DOS so zu schutzen, daB Sabotageversuche auch mit 
unbekannten Virussignaturen zwar nicht verhindert 
werden, abef bei der Aktivierung keinen Schaden an- 
richten, insbesondere keine vitalen Systembereiche der 35 
DatentrSger uberschreiben und dadurch zerstdren kon- 
nen. Die Ldsung der Aufgabe ist im Patentanspruch 1 
angegeben. 

Der Erfindung liegt das Prinzip zugrunde, vor der 
Ausfuhrung von potentiell gef&hrlichen Zugriffen auf 40 
Systembereiche von DatentrSgern, die bisher vom Be- 
triebssystem MS-DOS ohne jede Sicherheitsprufung 
durchgefiihrt wurden, den Anwender zu warnen, falls 
keine offensichtlich systembedingte Notwendigkeit fQr 
einen solchen Zugriff besteht Zur naheren Erlfiuterung 45 
des erfindungsgemaBen Verfahrens soil zunachst das 
MS-DOS-Betriebssystem im hier interessierenden Zu- 
sammenhang kurz erlautert werden. 

MS-DOS bietet grundsatzlich zwei Gruppen von 
Programmierfunktionen, die der Manipulation von Da- 50 
tentragern, also Festplatten oder Diskettes dienen kdn- 
nen, namlich dateiorientierte und sektororientierte 
Funktionen. Da ein Anwendungsprogramm im Normal- 
fall ausschlieBlich dateiorientierte Operationen ausfiih- 
ren darf und ein DatentrSger nur aus einzelnen Sektor- 55 
en, Zylindern und Kdpfen besteht, sorgt der MS-DOS- 
Kern bei jeder dateiorientierten Operation fur die 
transparente Umsetzung des logischen Begriffs "Datei" 
in die physikalischen Werte "Sektor", "Zylinder" usw. 
Darttber hinaus muB der Kern bei jeder dateiorientier- 60 
ten Operation ebenfalls transparent auch den System- 
bereich verwaiten. 

Ein Datentrager besteht, vereinfacht dargestellt, aus 
dem Systembereich und dem Datenbereich. Der Sy- 
stembereich einer typischen Festplatte enthfilt, wieder- 65 
um schematisch, einen Partition-Sektor, einen Boot- 
Sektor und zwei Kopien einer Dateizuordnungstabelle 
FAT (von File Allocation Table). Zum Systembereich 



lassen sich auch noch das Wurze!-(Root)-Verzeichnis 
sowie die drei zum Booten notwendigen Dateien 
IO.SYS, MSDOS.SYS und COMMAND.COM hinzu- 
rechnen. Unter dem Aspekt der Sicherheit ist folgendes 
zum Systembereich wichtig: Der Systembereich ist un- 
abdingbar fur die richtige Funktion des Systems, er ist 
relativ klein im Vergleich zum Datenbereich, und er 
sollte nur vom MS-DOS- Kern verwaltet und modifiziert 
werden. Die letzte Bedingung wird von MS-DOS selbst 
verletzt, da einige Systemf unktionen, z. B. das Formatie- 
ren von Datentragem, das-Anlegen einer Partition usw. 
, vom Kern in externe Dienstprogramme verlegt wur- 
den* Diese Dienstprogramme sind zwar formal Bestand- 
teil von MS-DOS, nicht aber vom Kern, der also deren 
Aktivitaten nicht Qberwachen und kontrollieren kann. 
Der MS-DOS-Kern bietet deshalb einige sektororien- 
tierte Funktionen, um diesen Dienstprogrammen den 
Zugriff zum Systembereich zu ermoglichen. Im wesent- 
lichen handelt es sich dabei um die Funktionen "Absolu- 
te Disk Read" und "Absolute Disk Write", d h. die Inter- 
rupts 25 und 26 (in hexadezimaler Schreibweise). 

Bei alleiniger Verwendung von dateiorientierten 
Funktionen lassen sich Schaden kaum anrichten. Ein 
Sabotageprogramm hat auf diese Weise keinen Zugriff 
zum Systembereich und konnte hdchstens Dateien 
uberschreiben oder ldschen. Da dem Sabotagepro- 
gramm die Namen von Dateien und Verzeichnissen in 
der Regel unbekannt sind, mtlBte sich das Sabotagepro- 
gramm blind durch die Dateien hindurcharbeiten- Das 
ware zeitauf wendig und auffailig. AuBerdem kdnnte der 
geschadigte Anwender geldschte Dateien sofort wie- 
derherstellen, z. B. durch das Dienstprogramm "UNDE- 
LETE". 

Einen echten und nicht wiederherstellbaren Schaden 
kann ein Sabotageprogramm allein durch die sektor- 
orientierten Funktionen anrichten. Daher findet die 
Priifung gem&B Merkmal a) im Anspruch 1 fQr diese 
Funktionen statt 

Jeder Versuch, eine sektororientierte Funktion aufzu- 
rufen, ist sabotageverdachtig, sofern der Aufruf nicht 
von MS-DOS selbst, also vom Kern oder von bestimm- 
ten, zugelassenen Dienstprogrammen stammt, sondern 
von einem Applikationsprogramm. Daher die PrQfun- 
gen gemaS Verfahrensschritt a) und c) im Anspruch 1. 

Insgesamt gibt es bei den sektororientierten Funktio- 
nen nur sechs mogliche Angriffspunkte fiir Sabotage- 
programme, namlich 

a) durch Aufruf der Funktion "ABSOLUTE DISK 
WRITE" (Interrupt 26), 

b) durch Aufruf von Festplatten- oder Disketten- 
Geratetreibern, 

c) durch Aufruf der Funktion "EXECUTE DEVICE 
DRIVER REQUEST" (Interrupt 2f, Funktion 0802), 

d) durch Aufruf der Funktion "GENERIC BLOCK 
DEVICE REQUEST" (Interrupt 21, Funktion 440d), 

e) durch Aufruf der Funktion "ROM-BIOS Fixed 
Disk" (interrupt 13) 

f) durch direkten Sprung zur ursprtinglichen ROM- 
Adresse von der Funktion "ROM-BIOS Fixed 
Disk", feststellbar durch die Funktion "SET DISK 
INTERRUPT HANDLER" (Interrupt 2f, Funktion 
13). 

Diese mttglichen Angriffspunkte, die eine vollstindige 
Aufstellung darstellen, sind auch Gegenstand von Wei- 
terbildungen der Erfindung. 

Zur DurchfOhrung des Verf ahrensschrittes c) wird zu- 
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nachst der Name des aufrufenden Programms festge- 
stellt, beispielsweise bei zugelassenen Programmen 
"FORMAT oder "FDISK". Da aber ein Sabotagepro- 
gramm ziemlich leicht auch den Programmnamen in der 
Programmumgebung modifizieren konnte, urn ein er- 5 
laubtes Programm vorzutauschen, wird mit Vorteil bei 
Aufrufen der Funktion "LOAD AND EXECUTE A 
PROGRAM", auch EXEC- Funktion genannt, der Name 
des auszufiihrenden Programms abgespeichert und mit 
dem Namen des aufrufenden Programms verglichen. 10 
Die beiden Namen mflssen ttbereinstimmen, sonst wird 
die Warming ausgegeben. 

Bei Aufruf der Funktionen "ABSOLUTE DISK WRI- 
TE", "GENERIC BLOCK DEVICE REQUEST" und 
"ROM-BIOS FIXED-DISK" wird jeweils der zugehdri- 15 
ge Interrupt, beispielsweise Interrupt 26 fttr "ABSOLU- 
TE DISK WRITE" wahrend der Initialisierungsphase 
umgeleitet, der Name des aufrufenden Programms ge- 
prttft und dann zum ursprttnglichen Interrupt zurttckge- 
kehrt 20 

Beim Aufruf eines Plattentreibers wird zunachst fest- 
gesteilt, ob es sich um einen Schreibzugriff auf den Sy- 
stembereich handelt Um dann zu prttfen, ob der Zugriff 
vom Kern kommt, wird festgestellt, ob zur Zeit eine 
MS-DOS-Funktion ausgeftthrt wird und ob sich die 25 
Transferadresse, also die Adresse, aus der die Daten auf 
die Platte geschrieben werden sollen, auf einen Kern- 
Datenpuffer bezieht Zur Durchftthrung wird dazu der 
Plattentreiberaufruf dadurch umgeleitet, daB bei der In- 
itialisierung ein neuer Plattentreiber angelegt wird, der 30 
die Prttfungen ausfuhrt und bei positivem Ausgang den 
bisherigen Plattentreiber zur Ausftthrung des Zugriffs 
aufruft 

Die Ausgabe einer Warnung umfaBt zweckmaBig die 
Ausgabe eines optisch auffallenden Warnfensters auf 35 
dem Bildschirm des Rechners. Dabei gibt das Warnfen- 
ster jeweils die Ursache fttr die Warnung und gegebe- 
nenfalls weitere Einzelheiten fur Diagnosezwecke, bei- 
spielsweise den vollen Pfadnamen des Verursachers, die 
physikalische Adresse des beans tandeten Aufrufs, die 40 
Registerinhalte, den System- und den Anwender-Stack, 
usw. AuBerdem kann das Warnfenster ein Menu enthai- 
ten, das dem Benutzer mehrere Moglichkeiten fur die 
Reaktion auf die Warnung einschliefilich einer Sperrung 
der jeweils ausgefiihrten Funktion gibt Die Sperrung 45 
kann dabei einmaiig far die gerade ausgefiihrte Funk- 
tion oder auch fur die Dauer des gerade laufenden Pro- 
gramms erfolgen. Andererseits kann der Benutzer trotz 
der Warnung die jeweils ausgefiihrte Funktion einmaiig 
oder auf Dauer zulassen. 50 

Die fttr die AusfOhrung der Prttfung gemaB Verfah- 
rensschritt c) zugelassenen Dienstprogramme stehen 
zweckmaBig in einer Liste zugelassener Programme wie 
folgt: 

CHKDSK, DEBUG, DISKCOPY, FDISK, FORMAT, 55 
MIRROR, RECOVER, REPLACE, SYS, UNDELETE, 
UNFORMAT 

Zusatzlich hat der Benutzer die Mdglichkeit, weitere 
Programme, die er fur zuveriassig halt, in die Liste ein- 
zugeben, und zwar solche Programme, die ebenfalls ei- 60 
nen sektororientierten Zugriff auf Systembereiche be- 
notigen, beispielsweise das bekannte Programm "PC 
TOOLS". 

Patentanspruche 65 

1. Verfahren zum Schutz von MS-DOS-Rechnern 
gegen Sabotageprogramme oder "Viren", gekenn- 
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zeichnet durch die Verfahrensschritte: 

a) bei Aufruf von sektororientierten Funktio- 
nen wird gepruft, ob der Aufruf vom Kern des 
Betriebssystems ausgeht 

b) bei positivem Ergebnis der Prttfung gemaB 
Schritt a) wird der Aufruf zugelassen, 

c) bei negativem Ergebnis der Prttfung gemaB 
Schritt a) wird gepruft, ob der Aufruf von ei- 
nem zugelassenen Dienstprogramm kommt, 

d) bei positivem Ergebnis der Prttfung gemaB 
Schritt c) wird der Aufruf zugelassen, 

e) bei negativem Ergebnis der Prttfung gemaB 
Schritt c) wird die Ausftthrung gesperrt und 
dem Rechnerbenutzer eine Warnung ausgege- 
ben. 

2. Verfahren nach Anspruch 1, dadurch gekenn- 
zeichnet, daB zur Durchftthrung der Prttfung ge- 
maB c) der Name des aufrufenden Programms fest- 
gestellt und mit einer Liste zugelassener Progra m- 
me verglichen wird. 

3. Verfahren nach Anspruch 2, dadurch gekenn- 
zeichnet, daB bei Aufrufen der EXEC-Funktion der 
Name des auszufiihrenden Programms abgespei- 
chert und mit dem Namen des aufrufenden Pro- 
gramms verglichen wird. 

4. Verfahren nach Anspruch 2 oder 3, dadurch ge- 
kennzeichnet, daB bei Aufruf einer der Funktionen 
-ABSOLUT DISK WRITE" oder "GENERIC 
BLOCK DEVICE REQUEST" oder "ROM-BIOS 
FIXED-DISK" der zugehorige INTERRUPT wah- 
rend der Initialisierungsphase umgeleitet, der Na- 
me des aufrufenden Programms gepruft und dann 
zum ursprttnglichen INTERRUPT zuruckgekehrt 
wird 

5. Verfahren nach Anspruch 1, dadurch gekenn- 
zeichnet, daB bei Aufruf des Plattentreibers oder 
der Funktion "EXECUTE DEVICE DRIVER RE- 
QUEST" festgestellt wird, ob ein Schreibzugriff auf 
den Systembereich vorliegt, und daB dann zur Prtt- 
fung, ob der Zugriff vom Kern kommt, festgestellt 
wird, ob zur Zeit eine MS-DOS-Funktion ausge- 
ftthrt wird und ob sich die Transferadresse auf ei- 
nen Kern-Datenpuffer bezieht. 

6. Verfahren nach Anspruch 5, dadurch gekenn- 
zeichnet, daB zur Durchftthrung der Prttfungen der 
Plattentreiberaufruf dadurch umgeleitet wird, daB 
bei der Initialisierung ein neuer Plattentreiber an- 
gelegt wird, der die Prttfungen ausfuhrt und bei 
positivem Ausgang den bisherigen Plattentreiber 
zur Ausftthrung des Zugriffs aufruft 

7. Verfahren nach einem der Anspruche 1 bis 6, 
dadurch gekennzeichnet, daB die Warnung die Aus- 
gabe eines optisch auffallenden Warnfensters auf 
dem Bildschirm des Rechners umfaBt und daB das 
Warnfenster die Ursache der Warnung angibt 

8. Verfahren nach Anspruch 7, dadurch gekenn- 
zeichnet, daB das Warnfenster ein Menu enthalt, 
das dem Benutzer mehrere Moglichkeiten fur die 
Reaktion auf die Warnung einschlieBlich einer 
Sperrung der jeweils aufgefuhrten Funktion angibt 
und eine Fehlerdiagnose liefert 

9. Verfahren nach einem der Anspruche 1 bis 8 f 
dadurch gekennzeichnet, daB fttr die Ausftthrung 
des Verf ahrensschrittes c) die zugelassenen Dienst- 
programme in eine Liste aufgenommen werden, die 
der Benutzer durch zusatzlich^ Programme ergan- 
zen kann. 



r 




- Leerseite - 



